Quishing
QR-Code-Phishing-Angriffe nehmen zu
Von Alexander Koch, VP Sales EMEA, Yubico
Wenn man an Phishing denkt, denken die meisten sofort an E-Mails. Doch Phishing kann auf verschiedene Arten stattfinden. Aufgrund ihrer niedrigen Kosten und hohen Erfolgsquote sind Cyberkriminelle oft darauf aus. Während E-Mail-Phishing nach wie vor verbreitet ist, gibt es mittlerweile auch Versuche über Textnachrichten oder Telefonanrufe. Doch eine neue Form von Phishing-Angriffen ist auf dem Vormarsch und kommt aus einer unerwarteten Quelle: QR-Codes.
QR-Code-Phishing, auch als "Quishing" bekannt, nutzt physische oder digitale QR-Codes, um Nutzer auf gefälschte Websites zu locken und sensible Informationen zu stehlen oder Geräte mit Malware zu infizieren. Quishing macht sich die weit verbreitete Technologie zunutze, was ein gewisses Grundvertrauen bei den Opfern schafft. Wie bei anderen Phishing-Methoden wird dieses Vertrauen ausgenutzt, indem Angreifer entweder neue physische QR-Codes platzieren oder gefälschte QR-Codes als Teil von E-Mail- oder Textnachrichten-Phishing versenden.
Doch wie funktioniert Quishing konkret?
Ein QR-Code ist beispielsweise an der Tür einer Bank angebracht. Beim Scannen des Codes wird der Nutzer aufgefordert, sich bei seinem Bankkonto anzumelden, um beispielsweise an einem Gewinnspiel teilzunehmen. Die Website, auf die der Nutzer geleitet wird, wirkt legitim, ist jedoch betrügerisch, und alle eingegebenen persönlichen Daten und Kontoinformationen sind nun kompromittiert. Auch digital ist Quishing schwer zu erkennen und gefährlich. Ein Nutzer könnte beispielsweise eine E-Mail von seinem bevorzugten Einzelhändler erhalten, die einen QR-Code enthält, um sich für ein neues Treueprogramm anzumelden. Beim Scannen des Codes auf dem Bildschirm des Computers wird der Nutzer aufgefordert, persönliche Daten wie Name, Adresse, Benutzername und Passwort einzugeben. Diese E-Mail enthält ebenfalls einen gefälschten QR-Code und ist ein Phishing-Angriff, der anderen Phishing-Methoden ähnelt, jedoch eine neue Technologie verwendet. Die gestohlenen Daten könnten genutzt werden, um auf die Website des Einzelhändlers zuzugreifen und Informationen wie Kreditkartendaten abzurufen. Wenn das Passwort auf anderen Websites wiederverwendet wird, was leider immer noch von 39 Prozent der Internetnutzer praktiziert wird, könnte es für weitere Betrugsfälle missbraucht werden. Zudem könnten persönliche Daten auf dem Schwarzmarkt verkauft und für zukünftige kriminelle Aktivitäten genutzt werden.
Was schützt vor QR-Code-Phishing? Aktivierung von Phishing-resistenter MFA für Konten
QR-Codes selbst können zwar nicht gehackt werden, aber es ist einfach, betrügerische QR-Codes über legitime Quellen zu verbreiten oder digital über E-Mails an Nutzer zu senden. Daher ist es wichtig, die Quelle sorgfältig zu prüfen. QR-Codes aus unbekannten Quellen sollten nicht vertraut werden. QR-Codes, die per E-Mail gesendet werden, sollten immer mit äußerster Vorsicht behandelt werden. Nutzer sollten, wo immer möglich, die Multi-Faktor-Authentifizierung (MFA) für Konten aktivieren, um Phishing-Angriffe zu erschweren. Obwohl jede Form von MFA besser ist als die Verwendung von Benutzername und Passwort allein, bieten phishing-resistente MFA-Optionen wie gerätegebundene Passkeys – also Hardware-Sicherheitsschlüssel – effektiven Schutz. Für Websites, die noch keine phishing-sicheren Methoden unterstützen, sollten Nutzer einen seriösen Passwort-Manager wie 1Password verwenden, um starke Anmeldedaten für jede Website zu erstellen und die Anmeldung auf verschiedenen Geräten zu vereinfachen.
